Quale potrebbe essere lo scopo degli standard ISO 27000?

Question

Quale potrebbe essere lo scopo degli standard ISO 27000?

#1 da (3 voti)
#2 da (1 voti)

2

Se una società desidera certificare contro alcuni standard della serie ISO 27000 (diciamo ISO 27001 e ISO 27005), che cosa potrebbe essere certificata? Voglio dire, sono i processi IT in generale nell'organizzazione nel suo insieme? O è più probabile che solo uno / più sistemi utilizzati in quella azienda siano / siano certificati? O dipende da uno standard particolare (diciamo che sono interessato a quelli sopra)?

Se una società ha scelto uno standard particolare, può essere scomposto in qualche modo in modo che solo una parte dello standard sia certificata?

audit business-risk iso27001 iso27000

posta ZygD 22.03.2015 - 23:20

fonte

2 risposte

Leggi altre domande sui tag audit business-risk iso27001 iso27000

Solo IP su HTTP GET In teoria, una rete ToR ad accesso limitato può essere creata con "Verifiable Encryption"? Come dovrei avvicinarmi all'apprendimento?

score 3 · Answer 1

Della gamma di documenti ISO 27000, solo 27001 è uno standard certificabile. Gli altri nella gamma sono documenti di orientamento e di consulenza.

Il primo passo dell'implementazione ISO 27001 sta definendo l'ambito. Secondo la mia esperienza, sarebbe inusuale che i "processi IT" fossero uno scopo, in genere definito per area di business. Quindi, ad esempio, la parte Operazioni dell'azienda (escluse le unità aziendali di supporto, come le risorse umane).

Non puoi essere certificato per parte della ISO 27001. È tutto o niente.

score 1 · Answer 2

La serie ISO 2700X riguarda la certificazione della gestione della sicurezza di un'azienda. A proposito, sei certificato 27001.

L'ambito deve essere definito dall'azienda. Per fare ciò, si applicano i requisiti della norma (capitoli da 4 a 8) senza eccezioni.

Il Capitolo 4 ruota attorno al Deming circle (PDCA) e definisce l'impostazione, l'implementazione e l'utilizzo di ISMS, il controllo, la revisione e il miglioramento.

Il capitolo 5 riguarda la responsabilità di gestione, il capitolo 6 con audit interni, il capitolo 7 con revisione e il capitolo 8 con azioni correttive e preventive.

La definizione dell'ambito è guidata dal capitolo 4.2.1 ae 4.2.1 b di ISO27001. È necessario esaminare i molti aspetti del perimetro organizzativo, del perimetro del sistema di informazione e del perimetro fisico.

Di solito la norma fornisce linee guida, non esiste una definizione precisa di ciò che deve essere nello scope e cosa no. È inoltre possibile fare riferimento a ISO27002 che offre buone pratiche.